病毒大百科

这是一个传奇的盗号木马，它除了盗取传奇的帐号与密码外，
还会下载其它的病毒。
建议用户不要运行来历不明的文件，并打开病毒防火墙。

1：拷贝与释放文件
病毒运行后，会把自己拷贝到下面的目录中
C:\Program Files\Common Files\Microsoft Shared\MSINFO\system.2dt
并释放一个DLL文件
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll (Win32.Troj.Lmir.pc.40720)

2：更改注册表
病毒会把释放的DLL文件注册为一个钩子，使DLL文件注入到每个进程的空间中运行
HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\\InProcServer32
(Default) = "C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll"
HKEY_CURRENT_USER\\CLSID\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\InProcServer32
ThreadingModel = "Apartment"
HKEY_LOCALMACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks\\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
(Default)

3：盗取帐号
NewInfo.dll一但发现自己注入的进程是传奇的进程，则挂接上钩子，并截取用户输入的帐号与密码，
并把得到的信息通过网站上传的方式上传到http://*****.net上面。

4：下载其它木马
病毒还会下载以下木马程序，使用户的计算机受到更多的木马感染
http://*****.net/usercfg/gg.exe
http://*****.net/usercfg/ms.exe
http://*****.net/usercfg/wl.exe
http://*****.net/usercfg/zz.exe
http://*****.net/usercfg/mh.exe
http://*****.net/usercfg/gm.exe
http://*****.net/usercfg/ii.exe
http://*****.net/usercfg/qq.exe
http://*****.net/usercfg/rx.exe
http://*****.net/usercfg/sj.exe